VMware Integrated OpenStack 3.1부터는 Neutron 보안 그룹을 통해 관리자가 2개의 새로운 기능을 사용할 수 있습니다.

제공자 보안 그룹

관리자 규칙이라고도 하며, 이러한 보안 그룹이 구성되면 필수로 설정되고 지정한 테넌트의 모든 VM에 적용됩니다. 제공자 보안 그룹은 정책과 연결되거나 정책 없이 존재할 수 있습니다.

NSX Service Composer - 보안 정책 보안 그룹

자세한 내용은 " VMware NSX for vSphere 관리 가이드" 의 " Service Composer" 장을 참조하십시오.

각 VMware NSX for vSphere 정책은 OpenStack 클라우드 관리자가 custom.yml 파일에서 nsxv_default_policy_id 옵션을 설정하여 기본 정책으로 정의할 수 있습니다. 새로운 모든 테넌트에는 이 정책이 기본값으로 포함되어 있습니다. 더 많은 정책을 정의하고 각각 제공자 또는 선택적 보안 그룹과 연결하여 지정한 테넌트에 대해 필수 또는 선택 사항으로 할당할 수 있습니다. 또한 테넌트 사용자는 규칙을 사용하여 보안 그룹을 생성할 수 있지만 클라우드 관리자가 설정한 보안 그룹을 재정의할 수는 없습니다.

VMware NSX for vSphere 정책이 사용되도록 설정된 후 클라우드 관리자가 다양한 시나리오를 구성할 수 있습니다.

1. 클라우드 관리자는 다른 옵션을 사용하여 일반 보안 그룹 생성을 금지할 수 있습니다.
   • 기본 보안 그룹만 존재하는 경우 이 기본 보안 그룹은 기본 정책과 연결됩니다. 테넌트 VM에는 기본 정책에 정의된 규칙이 적용됩니다.
   • 클라우드 관리자가 다른 정책을 사용하여 보안 그룹을 생성하는 경우 테넌트 VM은 기본 보안 그룹 대신 이 보안 그룹과 연결될 수 있으며 현재 정책에 정의된 규칙만 유효합니다.
   • 정책 규칙 이외에 제공자 보안 그룹이 존재하는 경우 테넌트 VM에는 제공자 보안 그룹에 정의된 규칙도 적용됩니다.
2. 클라우드 관리자는 다른 옵션을 사용하여 일반 보안 그룹 생성을 허용할 수 있습니다.
   • 사용자 정의 일반 보안 그룹으로 시작된 VM에는 이러한 보안 그룹에 정의된 규칙만 적용됩니다.
   • 일반 보안 그룹에 규칙 이외에 제공자 보안 그룹이 존재하는 경우 테넌트 VM에는 제공자 보안 그룹에 정의된 규칙도 적용됩니다. 이 경우 제공자 보안 그룹 규칙은 일반 보안 그룹 규칙보다 우선합니다. 마찬가지로 일반 보안 그룹과 함께 정책 기반 보안 그룹을 사용하는 경우 정책 기반 규칙이 우선합니다.
   • 보안 그룹에 정책과 규칙 중 하나만 포함할 수 있습니다.